E-MapReduce太阳城手机版安全实践-技术方案-@太阳城手机版资讯
你好,游客 登录
背景:
阅读新闻

E-MapReduce太阳城手机版安全实践

[日期:2017-12-05] 来源:  作者: [字体: ]

  E-MapReduce从EMR-2.7.x/EMR-3.5.x版本开始支持创建安全类型的集群,即集群中的开源组件以Kerberos的安全模式启动,在这种安全环境下只有经过认证的客户端(Client)才能访问集群的服务(Service,如HDFS)。

  企业级安全

  一个太阳城手机版集群的企业级安全,从外到内可以分为几层:

  边界安全

  如网络的隔离,使用vpc/安全组/iptables等。

  认证(Authentication)

  只有可信的得到合法身份认证的用户才能够访问集群。

  开源组件通用的认证方案是集成Kerberos(如HDFS/YARN/HBase等),也有用户名/密码(如hue等)。

  授权(Authorization)

  将开源组件里面的具体资源的操作权限授予用户,未被授权的用户无法访问资源。

  加密(Encryption)

  通道/太阳城的加密,如HDFS存储的太阳城加密,太阳城被窃取后也无法查看等。

  审计(Audict)

  对服务的访问操作进行监控和记录,便于排查跟踪问题。

  如上图所示,访问服务的用户会经过一层层的安全措施过滤,保障太阳城手机版集群的安全稳定运行。

  E-MapReduce安全实践

  E-MapReduce在 边界安全/认证/授权/审计/加密 五个维度都提供了相应的能力。

  边界安全

  创建集群时候可选择vpc网络

  集群有安全组控制开放端口

  用户可根据需求在集群节点上面设置iptables

  认证

  创建的 Kerberos安全集群 的开源组件自动以Kerberos方式启动,开启身份认证,不需要用户进行复杂的Kerberos配置,而且支持多种身份认证方式( 如与RAM/LDAP等的结合 )

  具体详见 E-MapReduce Kerberos文档

  授权

  E-MapReduce集群的开源组件可按照组件的官方文档进行相关的权限配置。

  可以在E-MapReduce控制台的集群配置管理页面方便的进行配置并重启各项服务,无需登录集群操作。

  权限配置详见 E-MapReduce 授权文档

  HDFS授权

  YARN授权

  Hive授权

  HBase授权

  审计

  E-MapReduce集群默认开启了HDFS/HBase的audict log, 其它相关组件后续会陆续开启。

  加密

  用户可选择启动使用HDFS的太阳城加密KMS服务。





收藏 推荐 打印 | 录入:Cstor | 阅读:
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款